Share via


Classificação de alerta para alerta de roubo de cookie de sessão

Aplica-se a:

  • Microsoft Defender XDR

Este artigo contém informações sobre classificação de alerta para alertas de roubo de Cookie de Sessão em Microsoft Defender XDR:

  • Cookie de sessão roubado foi usado
  • Solicitação de autenticação da página de phishing relacionada ao AiTM

Os atores de ameaças começaram a usar maneiras inovadoras de se infiltrar em seus ambientes de destino. Inspirando-se em ataques do Adversário no Meio, esse tipo de ataque usa phishing para roubar credenciais ou sua sessão de entrada para realizar ações mal-intencionadas. As campanhas BEC são um excelente exemplo.

Esse ataque funciona configurando um site intermediário (phishing), funcionando efetivamente como uma conexão proxy entre o usuário e o site legítimo que o invasor está representando. Ao agir como um intermediário (proxy), o invasor é capaz de roubar a senha do destino e o cookie de sessão. Portanto, o invasor é capaz de se autenticar em uma sessão legítima, pois está se autenticando em nome do usuário.

Essa cartilha ajuda na investigação de casos em que o comportamento suspeito é observado indicando um tipo de ataque AiTM (Attack-in-the-middle) para roubo de cookie. Isso ajuda as equipes de segurança, como o SOC (Centro de Operações de Segurança) e os administradores de TI a revisar, gerenciar e classificar os alertas como True Positive (TP) ou False Positive (FP) e, se for TP, tomar ações recomendadas para corrigir o ataque e mitigar os riscos de segurança decorrentes disso.

Os resultados do uso deste guia estratégico são:

  • Você identificou os alertas associados ao AiTM como atividades mal-intencionadas (TP) ou benignas (FP).
  • Se identificado como mal-intencionado, você tomou as medidas necessárias para corrigir o ataque.

Investigando etapas

  1. Investigue se o usuário afetado disparou outros alertas de segurança.

    • Concentre-se em alertas baseados em anomalias de localização geográfica para entradas [AadSignInEventsBeta or IdentityLogonEvents].
    • Investigue os eventos de entrada relevantes examinando as informações [AadSignInEventsBeta]de ID da sessão.
      • Procure eventos associados à ID da sessão identificada (roubada) para rastrear as atividades executadas usando o cookie [CloudAppEvents]roubado .
      • Procure uma diferença de tempo entre as atividades de entrada em que há uma diferença na localização geográfica. Várias sessões não devem ser possíveis para a mesma conta com locais diferentes (indicando que a sessão pode ser roubada).
    • Verifique se há alertas gerados para a conta do host corporativo.
      • Se a conta estiver comprometida, poderá haver alertas que precederam o compromisso que indica ataques, por exemplo, alertas [NetworkConnectionEvents]SmartScreen .
  2. Investigue o comportamento suspeito.

    • Procure eventos que indiquem padrões incomuns para identificar padrões suspeitos, como propriedades incomuns [CloudAppEvents] para usuários como ISP/Country/City, etc.
    • Procure eventos que indiquem atividades novas ou inéditas, como tentativas de entrada [êxito/falha] em serviços novos ou nunca antes usados, um aumento na atividade de acesso por email, uma alteração na utilização de recursos do Azure etc.
    • Inspecione as modificações recentes em seu ambiente a partir de:
      • Office 365 aplicativos (como alterações de permissão online do Exchange, encaminhamento automático de email ou redirecionamento)
      • PowerApps (como configurar a transmissão automatizada de dados por meio do PowerAutomate)
      • Ambientes do Azure (por exemplo, portal do Azure modificações de assinatura etc.)
      • SharePoint Online (acessos a vários sites ou para arquivos com conteúdo confidencial, como informações de credencial ou demonstrações financeiras), etc.)
    • Inspecione as operações observadas em várias plataformas (EXO, SPO, Azure etc.) em um curto período de tempo para o usuário afetado.
      • Por exemplo, linhas do tempo para eventos de auditoria de operações de leitura/envio de email e alocação/modificações de recursos do Azure (novo provisionamento de máquina ou adição a Microsoft Entra ID) não devem coincidir entre si.
  3. Investigue possíveis ataques de acompanhamento. Os ataques AiTM geralmente são um meio para um fim e não o fim do jogo, portanto, inspecione seu ambiente em busca de outros ataques que seguem para as contas afetadas.

    • Um exemplo seria examinar casos BEC
      • Procure atividades de pesquisa vistas na caixa de correio [CloudAppEvents]da conta de usuário alertada .
        • Pesquisa atividades na caixa de correio podem ter palavras-chave observadas em fraudes financeiras (por exemplo, faturas, pagamentos etc.), que são suspeitas.
        • Procure também regras de caixa de entrada criadas com a intenção de mover e marcar como leitura (algo nas linhas do ActionType in (New-InboxRule, UpdateInboxRules, Set-InboxRule) e RawEventData has_all (MarkAsRead, MoveToFolder, Archive)).
    • Procure eventos de fluxo de email [EmailEvents & EmailUrlInfo on NetworkMessageId] para onde os vários emails são enviados com a mesma Url.
      • Acompanhe a inspeção se um aumento ou um grande volume de exclusão de email (ActivityType como Trash ou Delete) é observado [CloudAppEvents] para a conta da caixa de correio.
      • O comportamento correspondente pode ser considerado altamente suspeito.
    • Examine os eventos do dispositivo para eventos url que correspondem a eventos [DeviceEvents on AccountName|AccountUpn] de clique para emails do Office365.
      • Corresponder os eventos para fontes de clique (por exemplo, endereços IP diferentes para a mesma Url) pode ser uma indicação de comportamento mal-intencionado.

Consultas de caça avançadas

A caça avançada é uma ferramenta de busca de ameaças baseada em consulta que permite inspecionar eventos em sua rede e localizar indicadores de ameaça. Use essas consultas para coletar mais informações relacionadas ao alerta e determinar se a atividade é suspeita.

Verifique se você tem acesso às seguintes tabelas:

  • AadSignInEventsBeta – contém informações de entrada para usuários.
  • IdentityLogonEvents – contém informações de logon para usuários.
  • CloudAppEvents – contém logs de auditoria de atividades do usuário.
  • EmailEvents – contém informações de fluxo de email/tráfego.
  • EmailUrlInfo – contém informações de URL contidas em emails.
  • UrlClickEvents - contém logs de clique em Url para Urls que foram clicados nos emails.
  • DeviceEvents – contém eventos de auditoria de atividade do dispositivo.

Use a consulta abaixo para identificar o comportamento suspeito de logon:

let OfficeHomeSessionIds = 
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser" 
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country

Use a consulta abaixo para identificar países/regiões incomuns:

AADSignInEventsBeta 
| where Timestamp > ago(7d) 
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName

Use essa consulta para encontrar novas regras de caixa de entrada de email criadas durante uma sessão de entrada suspeita:

//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Depois de determinar que as atividades de alerta são mal-intencionadas, classifique esses alertas como True Positive (TP) e execute as seguintes ações:

  • Redefinir as credenciais da conta do usuário. Além disso, desabilite/revogue tokens para a conta comprometida.
  • Se os artefatos encontrados estiverem relacionados ao email, configure o bloco com base no endereço IP do Remetente e nos domínios do Remetente.
    • Domínios que são tipo-squatted podem limpar políticas DMARC, DKIM, SPF (já que o domínio é completamente diferente) ou podem retornar "resultados nulos (pois provavelmente não está configurado pelo ator de ameaça).
  • Bloquear URLs ou endereços IP (nas plataformas de proteção de rede) que foram identificados como mal-intencionados durante a investigação.

Confira também

Do roubo de cookie ao BEC

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.